付天舉,許昱蘋

(內(nèi)蒙古電子信息職業(yè)技術(shù)學(xué)院,內(nèi)蒙古 呼和浩特 010070)

0 引言

近年來,高等職業(yè)院校通過信息技術(shù)將學(xué)生、教師、教育資源、管理、服務(wù)等多個方面進(jìn)行全面協(xié)調(diào)和優(yōu)化,實現(xiàn)教育信息化、數(shù)字化、智能化,為師生創(chuàng)造更好的工作學(xué)習(xí)條件,形成了智慧校園環(huán)境。在此環(huán)境下,伴隨物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等新技術(shù)、新應(yīng)用的不斷運用和學(xué)校業(yè)務(wù)系統(tǒng)的不斷增多,大量信息系統(tǒng)新建或升級改造,使網(wǎng)絡(luò)應(yīng)用的規(guī)模變得更加龐大,系統(tǒng)結(jié)構(gòu)更加復(fù)雜,在推進(jìn)智慧校園建設(shè)中面臨著網(wǎng)絡(luò)安全諸多風(fēng)險與挑戰(zhàn)。建立健全網(wǎng)絡(luò)安全管理體系、加大對各類信息系統(tǒng)的安全防護(hù)、保障智慧校園業(yè)務(wù)系統(tǒng)安全穩(wěn)定可靠運行、防止黑客與病毒入侵、肅清網(wǎng)絡(luò)環(huán)境、增強(qiáng)師生信息化的安全感和獲得感已經(jīng)成為智慧校園建設(shè)過程中迫切需要重點解決的問題。

1 網(wǎng)絡(luò)安全存在的問題

自2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》正式施行以來,高職院校在網(wǎng)絡(luò)安全建設(shè)方面得到重視并取得較大進(jìn)步,但大多僅停留在滿足基本的網(wǎng)絡(luò)安全需要階段,網(wǎng)絡(luò)安全防護(hù)體系尚未形成。一些與教育教學(xué)、管理服務(wù)相關(guān)的應(yīng)用部署在云平臺上或教學(xué)單位自建數(shù)據(jù)中心機(jī)房,缺乏統(tǒng)一管理,以移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能為代表的新一代信息技術(shù)廣泛應(yīng)用于智慧校園的不同場景,使得網(wǎng)絡(luò)安全防護(hù)問題變得更加復(fù)雜,原有的網(wǎng)絡(luò)安全體系已經(jīng)不能完全滿足安全的需要,面臨著網(wǎng)絡(luò)管理制度缺失、安全策略更新不及時、安全產(chǎn)品盲目堆砌、系統(tǒng)漏洞脆弱性聚積以及師生的信息化素養(yǎng)不高帶來的安全隱患等問題,為一些黑客組織和個人提供了可乘之機(jī)。個別青年學(xué)生法律意識淡薄,信息素養(yǎng)較低,受到新技術(shù)和好奇心的驅(qū)使,嘗試在內(nèi)網(wǎng)進(jìn)行非法或越權(quán)訪問。與此同時,安全事件預(yù)防難度大、處置水平低、應(yīng)急響應(yīng)不及時等問題越發(fā)突出,網(wǎng)絡(luò)安全的事前、事中、事后缺少整體綜合防護(hù),在網(wǎng)絡(luò)基本安全、系統(tǒng)安全、應(yīng)用安全、管理與運維安全等方面存在諸多問題[1](見表1)。

表1 校園網(wǎng)絡(luò)安全存在的問題描述

2 校園網(wǎng)絡(luò)安全需求

高職院校應(yīng)當(dāng)依據(jù)網(wǎng)絡(luò)安全等級保護(hù)測評的有關(guān)要求和相關(guān)法律法規(guī),結(jié)合其面臨的安全威脅及需求,參考等保安全保障框架,即應(yīng)用“安全域”的思想對網(wǎng)絡(luò)進(jìn)行安全域規(guī)劃,分域部署相應(yīng)的安全域保護(hù)措施和相關(guān)標(biāo)準(zhǔn)的安全產(chǎn)品[2],定期對校園內(nèi)網(wǎng)進(jìn)行自查、風(fēng)險評估,對面臨的安全威脅和安全需求進(jìn)行深入分析,識別網(wǎng)絡(luò)、主機(jī)及應(yīng)用層面、管理層面可能存在的風(fēng)險,通過風(fēng)險監(jiān)測、安全審計、實時監(jiān)控、統(tǒng)一身份認(rèn)證、邊界安全接入等手段及時發(fā)現(xiàn)威脅。在學(xué)校內(nèi)網(wǎng)形成縱深防御的“安全技術(shù)保障”體系,制定完善網(wǎng)絡(luò)安全管理制度,配備專業(yè)安全管理人員,建立安全基線,將信息系統(tǒng)的安全管理水準(zhǔn)維持在較高的水平,最終使學(xué)校門戶網(wǎng)站、業(yè)務(wù)系統(tǒng)和數(shù)據(jù)資源得到安全保障,阻斷互聯(lián)網(wǎng)上的惡意攻擊,免受安全威脅。

3 網(wǎng)絡(luò)安全體系的建設(shè)路徑

智慧校園總體框架主要包括基礎(chǔ)設(shè)施建設(shè)、數(shù)據(jù)治理、智慧校園應(yīng)用、安全保障4個部分,其安全保障體系構(gòu)建是一項關(guān)乎管理、技術(shù)、人員、法規(guī)制度的系統(tǒng)工程,需要從管理等方面強(qiáng)化統(tǒng)籌,完善工作機(jī)制,把制度建設(shè)貫穿網(wǎng)絡(luò)安全體系建設(shè)全過程。在技術(shù)防護(hù)方面,要以“等保2.0”為核心指導(dǎo),建立完備的“技術(shù)支撐”平臺,以強(qiáng)化信息資產(chǎn)管理為基礎(chǔ),不斷優(yōu)化網(wǎng)絡(luò)安全防護(hù)策略與設(shè)備,能夠形成事前、事中、事后的網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急處置的閉環(huán),實現(xiàn)網(wǎng)絡(luò)安全預(yù)警和快速應(yīng)急處置的工作目標(biāo)。

3.1 暢通網(wǎng)絡(luò)安全管理工作機(jī)制

高職院校在智慧校園建設(shè)過程中的水平參差不齊,網(wǎng)絡(luò)安全管理工作機(jī)制還有待完善。一是學(xué)校缺乏總體的網(wǎng)絡(luò)安全觀,表現(xiàn)在思想上重視,行動上保障不足;二是工作機(jī)制不暢,網(wǎng)絡(luò)安全工作的聯(lián)動機(jī)制尚未形成,責(zé)任邊界不清晰,缺乏統(tǒng)籌協(xié)調(diào);三是安全防護(hù)體系難以建立,在人防、物防、技防等方面缺乏一體推進(jìn),綜合運用。歸結(jié)起來,高職院校還是要通過管理手段保障和促進(jìn)網(wǎng)絡(luò)安全工作機(jī)制的形成。

3.1.1 領(lǐng)導(dǎo)重視,層層壓實責(zé)任

以網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級保護(hù)測評為工作基本方向,統(tǒng)籌全校的網(wǎng)絡(luò)安全建設(shè)。充分發(fā)揮網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組的重要推動作用,不斷完善網(wǎng)絡(luò)安全制度,簽訂網(wǎng)絡(luò)安全責(zé)任狀,層層落實網(wǎng)絡(luò)安全責(zé)任,形成人人講安全的工作氛圍。

3.1.2 完善安全管理制度,規(guī)范操作規(guī)程

不斷完善網(wǎng)絡(luò)安全管理制度,從技術(shù)管理、運維管理、信息安全管理、信息化服務(wù)管理、信息化項目管理、信息化支撐管理等方面建立安全管理制度,對安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程[3]。制定學(xué)校信息安全標(biāo)準(zhǔn)規(guī)范,指導(dǎo)信息系統(tǒng)在物理部署、網(wǎng)絡(luò)設(shè)置、系統(tǒng)安全防治、應(yīng)用平臺安全等方面制定落實安全措施,明確信息系統(tǒng)可以獲取的安全支撐環(huán)境以及應(yīng)用支撐平臺對信息系統(tǒng)的安全要求。通過制度建設(shè),實現(xiàn)網(wǎng)絡(luò)安全與信息化建設(shè)工作全面統(tǒng)籌、相互約束的建設(shè)工作機(jī)制,形成網(wǎng)絡(luò)安全“全校一盤棋”的工作格局。

3.1.3 加強(qiáng)日常管理

加強(qiáng)數(shù)據(jù)中心的日常管理,定期對機(jī)房、供配電、溫濕度控制等設(shè)備進(jìn)行維護(hù)管理,完善操作規(guī)程,加強(qiáng)對辦公區(qū)、運維區(qū)等保密性管理,日常辦公與駐廠運維要分配在不同的區(qū)域,要做好信息資產(chǎn)臺賬的管理,并對信息的使用、傳輸和存儲進(jìn)行規(guī)范化管理。通過規(guī)范完善網(wǎng)絡(luò)安全事前、事中、事后各環(huán)節(jié)的操作規(guī)程,提升網(wǎng)絡(luò)安全管理工作水平。

3.1.4 開展網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急處置演練

胸段椎管內(nèi)硬膜外腔血腫(thoracic spinal epidural hematoma,TSHE)是一種少見疾病，起病急，易發(fā)生截癱或其他不可逆神經(jīng)損害，一旦發(fā)生后果往往很嚴(yán)重，早期準(zhǔn)確診斷具有重要意義?，F(xiàn)將筆者所在醫(yī)院近期發(fā)生的1例處理經(jīng)過和體會報告如下。

根據(jù)網(wǎng)絡(luò)安全形勢發(fā)展的需要,結(jié)合實際定期開展相應(yīng)科目的網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急處置演練,不斷優(yōu)化處置流程,規(guī)范操作規(guī)程,提升網(wǎng)絡(luò)管理人員處置突發(fā)事件的應(yīng)急能力。

3.1.5 提升師生的信息素養(yǎng)

營造數(shù)字化的學(xué)習(xí)環(huán)境,對師生進(jìn)行有計劃、有針對性地培訓(xùn),形成全方位、一體化的信息素養(yǎng)培訓(xùn)體系。開設(shè)信息素養(yǎng)選修課,培養(yǎng)和增強(qiáng)學(xué)生具有信息意識、信息技能、信息倫理與網(wǎng)絡(luò)安全意識。充分利用國家網(wǎng)絡(luò)安全宣傳周等契機(jī),面向師生舉辦專題講座、知識競賽等活動,進(jìn)行網(wǎng)絡(luò)安全方面的宣傳教育。建立教師信息管理員隊伍和學(xué)生信息員隊伍,充分發(fā)揮兩支隊伍在網(wǎng)絡(luò)安全與信息化建設(shè)工作中的重要作用,通過“以點帶面,少數(shù)帶動多數(shù)”等方式,使廣大師生的網(wǎng)絡(luò)安全意識和信息化應(yīng)用能力得到提升[4]。

3.1.6 做好信息系統(tǒng)等級保護(hù)測評

信息系統(tǒng)建設(shè)之初,應(yīng)當(dāng)闡明信息系統(tǒng)的邊界和安全保護(hù)級別,形成系統(tǒng)定級文檔,并組織有關(guān)部門和安全技術(shù)專家對信息系統(tǒng)定級進(jìn)行論證和審定,所有的信息系統(tǒng)要嚴(yán)格按照等保測評的要求進(jìn)行整改,實現(xiàn)網(wǎng)絡(luò)安全等級保護(hù)測評的工作目標(biāo)。

3.1.7 建立安全基線

基線一般指配置和管理系統(tǒng)的詳細(xì)描述或者是信息系統(tǒng)的最小安全保證, 即該信息系統(tǒng)最基本需要滿足的安全要求[5]。信息系統(tǒng)安全往往需要在安全付出成本與所能夠承受的安全風(fēng)險之間進(jìn)行平衡, 而安全基線正是這個平衡的合理的分界線,不滿足系統(tǒng)最基本的安全需求, 也就無法承受由此帶來的安全風(fēng)險。建立安全基線能夠幫助學(xué)校發(fā)現(xiàn)各類服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、中間件、數(shù)據(jù)庫等存在的安全漏洞與薄弱環(huán)節(jié),認(rèn)清自身風(fēng)險現(xiàn)狀。

3.2 構(gòu)建“三防融合”技術(shù)支撐體系

必須構(gòu)建人防、物防、技防并重的網(wǎng)絡(luò)安全綜合防護(hù)支撐體系[6]。人防是指依靠人的網(wǎng)絡(luò)安全意識、覺悟和能力建立起來的安全防護(hù),是“三防”體系建設(shè)的核心,加強(qiáng)人防,關(guān)鍵是要健全完善和落實網(wǎng)絡(luò)安全工作責(zé)任制。物防是指加大資源設(shè)備投入,為網(wǎng)絡(luò)安全工作的開展提供強(qiáng)有力的物質(zhì)保障。技防是指采用現(xiàn)代技術(shù)手段對信息資產(chǎn)進(jìn)行保護(hù),防止網(wǎng)絡(luò)安全事件的發(fā)生。實際工作中,要將人防、物防、技防有機(jī)結(jié)合起來,促進(jìn)“三防融合”技術(shù)支撐體系的形成。

3.2.1 人防

網(wǎng)絡(luò)安全工作基本上是三分技術(shù)七分管理,對于安全保障體系而言,光靠安全設(shè)備是遠(yuǎn)遠(yuǎn)不夠的,更重要的是要有一支技術(shù)精湛的專業(yè)隊伍、一套合理的工作流程和較高的人員安全意識才能真正讓安全落到實處[7]。人防是網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的核心,無論技術(shù)手段多么高深,設(shè)備多么先進(jìn),都離不開網(wǎng)絡(luò)安全的核心要素,即人本身。高職院校在加強(qiáng)自身專業(yè)隊伍建設(shè)的同時,要積極開展與安全公司以及第三方安全服務(wù)機(jī)構(gòu)的聯(lián)系與合作,通過服務(wù)合作模式,加強(qiáng)網(wǎng)絡(luò)安全能力建設(shè),提升本校安全團(tuán)隊攻防技能,要轉(zhuǎn)變傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)工作的角色,倡導(dǎo)主動防御理念。

要做好日常巡檢與應(yīng)急巡檢。建立以資產(chǎn)、業(yè)務(wù)系統(tǒng)為核心全生命周期的資產(chǎn)管理體系,嚴(yán)格執(zhí)行入網(wǎng)審批制度,入網(wǎng)前進(jìn)行安全檢查、基線檢查,避免帶病上線,入網(wǎng)后,進(jìn)行日常安全合規(guī)巡檢和應(yīng)急巡檢并行機(jī)制,日常巡檢要加強(qiáng)系統(tǒng)安全性、基線合規(guī)性、服務(wù)健康度的巡檢,確保業(yè)務(wù)系統(tǒng)安全穩(wěn)定的運行,應(yīng)急巡檢目的在于加強(qiáng)對新漏洞、高危漏洞的響應(yīng)能力,及時發(fā)現(xiàn)、及時處理,防患未然。倡導(dǎo)健康退網(wǎng)機(jī)制,在資產(chǎn)或業(yè)務(wù)系統(tǒng)生命周期終止后,業(yè)務(wù)單位及時發(fā)起退網(wǎng)申請,避免形成“僵尸”系統(tǒng),同時提高技術(shù)手段,加強(qiáng)對“僵尸”系統(tǒng)的檢測,做到及時發(fā)現(xiàn),及時處置。應(yīng)對運維管理人員進(jìn)行詳細(xì)嚴(yán)格的權(quán)限劃分,并通過技術(shù)手段限制運維邊界,對運維行為進(jìn)行全程審計,對違規(guī)運維操作進(jìn)行實時告警。

3.2.2 物防

進(jìn)行安全設(shè)備加固。按照事前監(jiān)測、事中防護(hù)、事后回溯的網(wǎng)絡(luò)安全工作機(jī)制部署網(wǎng)絡(luò)安全設(shè)備。在高職院校現(xiàn)有基礎(chǔ)網(wǎng)絡(luò)設(shè)施條件下,分別從網(wǎng)絡(luò)基礎(chǔ)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全、管理運維安全5個維度進(jìn)行網(wǎng)絡(luò)安全加固。在出口互聯(lián)網(wǎng)接入?yún)^(qū)域部署有防火墻和流控設(shè)備,旁掛上網(wǎng)行為管理設(shè)備,加強(qiáng)安全風(fēng)險識別,進(jìn)行訪問控制。在數(shù)據(jù)中心業(yè)務(wù)區(qū)部署網(wǎng)絡(luò)入侵防御系統(tǒng),對業(yè)務(wù)系統(tǒng)應(yīng)用和威脅進(jìn)行監(jiān)測。在安全管理中心部署數(shù)據(jù)庫審計系統(tǒng)、日志審計系統(tǒng)、堡壘機(jī),對業(yè)務(wù)訪問行為和運維管控行為進(jìn)行審計。在服務(wù)器及用戶終端安裝系統(tǒng)防護(hù)軟件和防病毒軟件。對所有的信息系統(tǒng)實行全生命周期的管理,在系統(tǒng)上線之前,即要明確信息系統(tǒng)的邊界和安全保護(hù)等級,選擇基本安全措施,明確對系統(tǒng)的安全保護(hù)要求、策略和措施等內(nèi)容。

3.2.3 技防

“等保2.0”是我國最新、最權(quán)威的網(wǎng)絡(luò)安全保護(hù)標(biāo)準(zhǔn)體系,在具體的技防工作中,要參照標(biāo)準(zhǔn)體系開展技術(shù)防護(hù)工作,包含優(yōu)化網(wǎng)絡(luò)安全策略、即時修補(bǔ)漏洞、日常實時監(jiān)測、事件應(yīng)急處置、數(shù)據(jù)保密與備份恢復(fù)等方面的內(nèi)容[8]。

(1)優(yōu)化網(wǎng)絡(luò)安全策略。

校園網(wǎng)絡(luò)出口應(yīng)對可能發(fā)生的拒絕服務(wù)攻擊進(jìn)行有效識別、過濾、清洗,保證網(wǎng)絡(luò)出口的暢通,保證骨干鏈路的負(fù)載處于正常范圍之內(nèi)。網(wǎng)絡(luò)出口鏈路應(yīng)有邊界安全防護(hù)措施,對來源于公網(wǎng)或內(nèi)網(wǎng)的黑客入侵、病毒傳播等安全威脅進(jìn)行實時識別與阻斷。DMZ區(qū)及內(nèi)網(wǎng)服務(wù)器區(qū)出口鏈路上,針對WEB應(yīng)用的7層攻擊,如SQL注入、XSS、HTTP GET FLOOD等威脅進(jìn)行全面深入的防護(hù)。所有流經(jīng)核心交換區(qū)域的流量要進(jìn)行深入的檢測,以識別內(nèi)部各網(wǎng)絡(luò)區(qū)域之間發(fā)生的入侵事件和可疑行為。面向內(nèi)網(wǎng)用戶要進(jìn)行網(wǎng)絡(luò)行為全面的記錄和審計,以滿足違規(guī)事件發(fā)生后的追查取證。要在不同區(qū)域之間進(jìn)行訪問控制、病毒檢測、入侵防護(hù)等安全控制措施。應(yīng)對全網(wǎng)的網(wǎng)絡(luò)節(jié)點進(jìn)行配置合規(guī)管理,實現(xiàn)違規(guī)配置及時識別、配置整改全面深入、配置風(fēng)險全程可控。

(2)即時修補(bǔ)漏洞。

對全校網(wǎng)絡(luò)節(jié)點進(jìn)行漏洞脆弱性管理,實現(xiàn)漏洞預(yù)警、漏洞加固和漏洞審計的全程風(fēng)險控制,建立以漏洞為核心,全生命周期的漏洞管理體系。

(3)加強(qiáng)日常實時監(jiān)測。

通過本地網(wǎng)絡(luò)安全與云端威脅情報結(jié)合,建立以威脅為核心,結(jié)合威脅情報感知、應(yīng)急響應(yīng)和恢復(fù)過程,構(gòu)建主動感知和預(yù)警的威脅運營體系,做到實時監(jiān)控、實時預(yù)警,提升日常監(jiān)控和應(yīng)急響應(yīng)能力。

(4)做好事件的應(yīng)急處置,建立聯(lián)動的工作機(jī)制。

按照事前、事中、事后的網(wǎng)絡(luò)安全防護(hù)體系不斷優(yōu)化應(yīng)急處置流程,安全事件發(fā)生時,人員能夠第一時間到位,并即時啟動網(wǎng)絡(luò)安全突發(fā)應(yīng)急事件處置預(yù)案,通過運用相關(guān)安全設(shè)備和技術(shù)手段快速定位事件源[4]。

(5)做好數(shù)據(jù)保密與備份恢復(fù)。

強(qiáng)化數(shù)據(jù)資源全生命周期安全保護(hù),完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級保護(hù)制度,保障數(shù)據(jù)安全。對于終端敏感信息或重要數(shù)據(jù)在存儲和流轉(zhuǎn)過程中需要使用密碼技術(shù)保障數(shù)據(jù)傳輸過程中的完整性與保密性。例如使用WEBVPN或HTTPS的協(xié)議進(jìn)行訪問,不具有證書加密的場景可采用其他第三方軟件加密。要做好重要數(shù)據(jù)備份與恢復(fù),制定數(shù)據(jù)備份策略,做到全量備份與增量備份相結(jié)合,并提供異地數(shù)據(jù)備份功能,要對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份,使災(zāi)備系統(tǒng)隨時處在就緒狀態(tài)或運營狀態(tài)。

4 結(jié)語

習(xí)近平總書記始終高度重視網(wǎng)絡(luò)安全與信息化建設(shè)工作,強(qiáng)調(diào)沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化,網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動之雙輪。作為承擔(dān)人才培養(yǎng)任務(wù)的高校,要將觀念和認(rèn)識統(tǒng)一到習(xí)近平總書記關(guān)于網(wǎng)信事業(yè)的重要講話精神上來,樹立正確的網(wǎng)絡(luò)安全觀,在具體的工作中要將管理機(jī)制與技術(shù)手段進(jìn)行全面有效的融合,充分發(fā)揮人員、技術(shù)、產(chǎn)品的優(yōu)勢,形成網(wǎng)絡(luò)安全工作合力,建設(shè)安全、穩(wěn)定、可靠的網(wǎng)絡(luò)環(huán)境,抵御網(wǎng)絡(luò)安全威脅,從而筑牢智慧校園發(fā)展根基,推動教育數(shù)字化賦能學(xué)校高質(zhì)量發(fā)展。